設定 VPN
本節說明如何設定這些 VPN 組態案例:
-
從遠端存取虛擬私人網路 (VPN)
遠端存取使用者端(例如Endpoint Security VPN)和安全閘道之間的加密通道。
-
使用預先共用密碼的網站對站台 VPN
-
使用憑證的網站對站台 VPN
|
|
注意-VPN 不適用於純 IPv6,只能與dual IP 一起使用。 |
設定遠端存取 VPN
介紹
使用以下選項進行遠端存取:
-
Check Point VPN 客戶端
-
Check Point移動客戶端
-
Check Point SSL VPN
-
L2TP VPN 客戶端
先決條件
-
在VPN > Blade Control中,務必使:
-
將遠端存取控制設定為「開啟」。
-
選取 [允許來自遠端存取使用者的流量 (預設情況下)] 選項。
-
選取適用的連線方法。
更多詳細資訊,請參閱設定遠端存取blade.
-
-
如果閘道使用動態 IP 位址,建議您使用 DDNS 功能。查看設定DDNS和存取服務.
-
對於 Check Point VPN 客戶端或移動客戶端方法,請確保在主機上安裝了適用的客戶端。如需詳細資訊,請點擊如何連線。
遠端存取組態
以下是設定遠端存取使用者的方法:
-
本機使用者
-
RADIUS使用者
-
AD使用者
若要僅允許指定的使用者與遠端存取使用者端連線,請為適用的使用者類型設定群組 有共用屬性的物件集合,例如使用者帳戶。權限。選取「新增」選項旁邊的箭頭,然後選取相關的群組選項。查看設定遠端存取使用者.
若要設定 RADIUS 使用者:
-
前往VPN >身份驗證伺服器。
-
點擊「設定」以新增 RADIUS 伺服器。查看設定遠端存取的身份驗證伺服器.
-
點擊 RADIUS 使用者的權限以設定存取權限。
若要設定 AD 使用者:
-
前往VPN >身份驗證伺服器,然後按一下新增新增 AD 網域。查看設定遠端存取的身份驗證伺服器.
-
點擊使Active Directory 用戶的權限限以設定存取權限。
L2TP VPN 使用者端設定
對於 L2TP VPN 使用者端設定,請在啟用 L2TP VPN 使用者端方法後,點擊 L2TP 預先共用金鑰以輸入金鑰。
進階選項
更多進階遠端存取選項(例如辦公模式網路)的詳細資訊,請參閱設定進階遠端存取選項.
監控
若要確定遠端存取正常運作:
使用已設定的使用者端從遠端主機連線到內部資源。
使用預先共用密碼設定站台對站台 VPN
介紹
在此站台對站台 VPN 設定方法中,會使用預先共用的密碼進行驗證。
先決條件
-
確定網站對站台 VPN blade已設定為 [開啟],並且已選取 [允許來自遠端站點的流量] (預設值)。查看設定站點到站點 VPN blade.
-
您連線的對點設備必須設定並連線至網路。如果它是 DAIP 閘道,則其主機名稱必須可以解析。
配置
輸入主機名稱或 IP 位址,然後輸入預先共用的密碼資訊。更多相關資訊請參閱設定 VPN 網站.
監控
若要確定 VPN 正常運作:
-
在本機和對點閘道之間傳送流量。
-
前往VPN > VPN 通道來顯示器通道狀態。查看查看 VPN 隧道.
使用憑證設定站台對站台 VPN
介紹
在此站台對站台 VPN 設定方法中,憑證會用於驗證。
先決條件
-
確定網站對站台 VPN blade已設定為 [開啟],並且已選取 [允許來自遠端站點的流量] (預設值)。查看設定站點到站點 VPN blade.
-
您連線的對點設備必須設定並連線至網路。如果它是 DAIP 閘道,則其主機名稱必須可以解析。
-
您必須使用您的 IP 位址或可解析的主機名稱重新初始化憑證。確定憑證在雙方都受信任。
-
VPN 加密設定在兩端 (本機閘道和對點閘道) 必須相同。當您使用 [自訂加密] 選項時,這一點特別重要。
配置
您可以從必須由對點閘道的 CA 簽署的一個閘道建立要求:
如要使用第三方 CA 進行身份驗證:
您可以從每個對點閘道建立簽署要求。按照使用其中一個閘道的 CA 簽署要求中的上述步驟,使用第 3 方 CA 對其進行簽名。
請注意,第 3 方 CA 可以發布 *.crt、*.p12或者 *.pfx憑證檔案。
如要使用現有的第三方憑證進行身份驗證:
-
為本機和對點閘道建立 P12 憑證。
-
使用每個閘道上的「上傳 P12 憑證」選項來上傳 P12 憑證。
-
確定協力廠商 CA 已安裝在兩個閘道上。
使用新增選項管理受信任的 CA.